Většina dnešních bezdrátových sítí má vysokou úroveň zabezpečení, kterou zajišťuje autentizace uživatelů, šifrování komunikace a služby centralizovaného firewallu. Ve světě drátových sítí však většinou tak vysoké úrovně bezpečnosti nedosahujeme. Porty jsou dokonce často zcela nezabezpečené, což představuje riziko. Prvním krokem k zabezpečení je implementace autentizace, ale můžeme udělat ještě daleko více. Pomocí dynamické segmentace lze nastavit stejnou úroveň zabezpečení jako u bezdrátových sítí.
V hlavní roli kontrolér
Hlavní výhodu v bezdrátových sítích představuje možnost tunelování veškerého provozu z access pointů do kontroléru, který následně aplikuje pravidla pro přístup do sítě (firewall), umožňuje filtrovat provoz na základě použité aplikace (Application visibility and deep packet inspection – AppRF), obsahu navštěvovaných webových stránek (Web Content Classification – WebCC) a aplikace kvality služeb (Unified Communication and Collaboration – UCC, což je obdoba QoS pro bezdrátové sítě). Tento stejný způsob zabezpečení je možné nasadit i v drátové síti, kde místo access pointů provoz do kontroléru tunelují switche. Kontroléry se tedy stávají ústředními prvky celé sítě a umožňují nasazení zcela konzistentních síťových pravidel pro drátovou i bezdrátovou síť.
Konzistence pravidel spočívá v tom, že nezáleží na tom, z jaké lokality a jakým typem připojení se uživatel do sítě přihlašuje. Vždy obdrží stejnou uživatelskou roli s patřičnými oprávněními. Ať se připojuje z notebooku k Wi-Fi v zasedací místnosti, nebo kabelem do zásuvky ve své kanceláři.
Dva režimy tunelování provozu
Pro tunelování provozu ze switche na kontrolér lze využít dva režimy:
- Port-Based tunneling – v tomto režimu switch jednoduše odesílá veškerá data z vybraných portů na kontrolér, kde následně nastává autentizace uživatele a volba uživatelské role.
- User-Based tunneling – v druhém režimu si switch volí, který provoz odešle do tunelu a který odešle lokálně. Toto rozhodnutí se děje na základě autentizace a lokálně přidělené role. Tunelovaný provoz je odeslán na kontrolér, kde je přidělena uživatelská role s pravidly pro přístup do sítě.
Obecně využívanějším režimem je User-Based tunneling, který v kombinaci s Aruba ClearPass Radius serverem dokáže zajistit větší automatizaci celého procesu, a to díky možnosti nastavení stahovatelných rolí z ClearPass serveru (downloadable roles). Switch v tomto případě odešle autentizační žádost na Radius server, který ověří uživatele nebo zařízení. Součástí odpovědi je i kompletní definice lokální role na switchi a atribut pro tunelování provozu spolu s uživatelskou rolí přidělenou na kontroléru. Pokud není v odpovědi obsažen atribut pro tunelování, provoz je odeslán lokálně ze switche.
Jestliže se dnes rozhodujete, jakým způsobem lépe zabezpečit svou síť při zachování jednoduché implementace a správy, dynamická segmentace může být jednou z cest, kudy se vydat. Díky granulárním přístupovým oprávněním, která jsou založena na rolích vynucovaných dynamickou segmentací, lze efektivně zabezpečit síť a chránit ji před nechtěnými vnějšími vlivy. Další užitečné informace je možné získat na internetových stránkách Aruba Airheads Community, případně na YouTube kanálu Airheads Broadcasting Channel.
Co si přečíst i toto?
I zdánlivě dokonalá ochrana firemního perimetru může mít trhlinky. Firewally na vstupu do datacentra pak ani nemusí zaznamenat škodlivý pohyb uvnitř, v east-west provozu mezi jednotlivými součástmi sítě. Nové switche Aruba CX 10000 umožňují pokročilé bezpečnostní řešení rozprostřít skutečně do všech segmentů sítě a bránit vnitřním útokům.
Na aplikacích je založen byznys většiny firem digitální ekonomiky. Zdaleka přitom nejde jen o nástroje pro kontakt se zákazníky na front-endu, s aplikacemi stojí i padá i provoz back-endu, který koncoví uživatelé na první pohled nevidí. Neobejdou se bez nich zaměstnanci, ale ani desítky podnikových systémů.
Její kariéra v IT trvá už dvacet let. Což jsou v oblasti informačních technologií vlastně světelné roky. „Náš obor je neskutečně živý. Je pro lidi, kteří mají rádi, když věci odsýpají. Nikde jinde se tak rychle neděje tolik inovací. Budu-li pracovat v potravinářském průmyslu, tak je velmi pravděpodobné, že mě za mou kariéru nečeká velká revoluce.